Uma operação de botnet denominada SSHStalker comprometeu aproximadamente 7 mil servidores Linux em diferentes países. Botnets são redes formadas por equipamentos infectados por programas maliciosos e controlados remotamente por criminosos, que passam a executar comandos sem o conhecimento dos proprietários.
A campanha foi identificada pela empresa de segurança Flare após a implementação de um honeypot, técnica que consiste em expor intencionalmente sistemas com credenciais fracas para atrair invasores. Durante dois meses de monitoramento, a partir do início de 2025, os pesquisadores observaram um padrão inédito de atividade, sem correspondência em bases conhecidas de malware.
A infraestrutura combina práticas difundidas nos anos 2000 com recursos atuais de automação, o que resulta em um ecossistema resiliente. O controle dos dispositivos infectados ocorre por meio do IRC (Internet Relay Chat), protocolo de comunicação em grupo amplamente utilizado na década de 1990.
IRC oferece baixo custo operacional
Embora considerado obsoleto, o IRC oferece baixo custo operacional, múltiplos pontos de redundância e menor atenção por parte de sistemas modernos de detecção. Os operadores adaptaram o EnergyMech, originalmente desenvolvido para administrar canais de IRC, convertendo-o em mecanismo de coordenação de milhares de máquinas.
Os bots utilizam extensas listas de apelidos, incluindo gírias romenas e referências da cultura pop, para se misturar a usuários legítimos.
A infecção começa com varreduras automatizadas em busca de servidores SSH expostos. Um scanner malicioso, identificado como “nmap” e escrito em Golang, se propaga entre sistemas comprometidos. Ao localizar a porta 22 aberta, os atacantes executam ataques de força bruta explorando credenciais simples, ainda frequentes em ambientes mal configurados.
Após o acesso, instalam o compilador GCC e geram o código malicioso diretamente na máquina invadida, criando binários únicos e dificultando a detecção por assinaturas tradicionais.
Dois bots IRC quase idênticos são implantados como redundância, conectados a servidores distintos e adaptados a arquiteturas como ARM, x86 e MIPS. Em seguida, um pacote denominado “GS”, composto por sete módulos, é baixado. Entre eles, o “distro” identifica a distribuição Linux e ajusta a instalação, enquanto scripts como “clean.c” e “cls.c” removem registros de atividade.
Para garantir persistência, o malware agenda tarefas no cron que verificam sua execução a cada minuto. Caso o processo seja encerrado, é restaurado em até 60 segundos.
